“经过身份验证的用户”和“用户”安全组之间有什么区别?

“经过身份验证的用户”和“用户”安全组之间有什么区别?

我试图弄清楚为什么在创建的“TestFolder”中“用户”和“经过身份验证的用户”的权限复选框存在差异。两个设置(标记为红色和橙色)都适用于“此文件夹、子文件夹和文件”,因此两者相同。那么黄色权限有什么不同,为什么不同?

我只谈论和测试本地权限,而不是网络共享。

看看这些:

Create files / write data
Create folders / append data
...

是否可以创建/写入/附加令人困惑。

我以本地用户身份登录此虚拟机,因此理论上我属于内置的“用户”组。查看左侧黄色方块(用户 Win7-CL1\Users),我应该无法创建/写入等。另一方面,成功登录后,系统会将用户视为“经过身份验证的用户”,因此这应该属于右侧黄色方块。因此他(我)应该可以创建/写入等。

当我在虚拟机上进行测试时,我能够创建/写入等,因此看起来“经过身份验证的用户”优先于“用户”。我说得对吗?

如果是这样,那么成功登录后,每个用户都是“经过身份验证的用户”,因此永远不会属于“用户”组。

什么情况下一个人会被视为“用户”?

在此处输入图片描述

答案1

您同时处于多个组中。您的令牌具有BUILTIN\UsersSID,它有Authenticated UsersSID,它有EveryoneSID,并且还有几个其他 SID。全部在检查 ACL 时会使用这些组。

NTFS ACL 与 POSIX ACL 不同,它不是独占的:所有匹配的访问权限条目均适用于您。例如,如果文件具有Users:(R)并被Authenticated Users:(W)授予,则您具有读取写访问。这意味着一个组永远不会需求优先于另一件事。

相反,ACE 的排序方式是“拒绝”条目优先于“允许”条目。如果至少一个条目明确拒绝某个权限,则即使另一个条目试图允许该权限,也会被拒绝。

相关内容